AgentSight: 使用 eBPF 实现 AI 代理的系统级可观测性.pdfVIP

AgentSight:使用eBPF实现AI代理的系统级可观测性

YushengZhengYanpengHu

UCSantaCruzShanghaiTechUniversity

SantaCruz,CA,USAShanghai,China

yzhen165@huyp@

TongYuAndiQuinn

eunomia-bpfCommunityUCSantaCruz

ChinaSantaCruz,CA,USA

yt.xyxx@aquinn1@

Abstract程和系统维护任务。本质上，我们部署了非确定性的ML

现代软件基础设施越来越多地依赖LLM代理进行开发系统，为系统的可靠性、安全性和验证带来了前所未有

本和维护，例如ClaudeCode和Gemini-cli。然而，这些AI的挑战。

译代理与传统的确定性软件从根本上不同，给常规的监控这一范式转变造成一个关键的语义鸿沟：代理的高

和调试带来了重大挑战。这导致了一个关键的语义差距：层次意图与其低层次系统动作之间的巨大差距。与具有

中现有工具要么观察代理的高层意图（通过LLM提示），要可预测执行路径的传统程序不同，代理使用LLM和自

1么观察其底层操作（如系统调用），但无法将这两者关联主工具动态生成代码并启动任意子进程。这使得现有的

v

6起来。这种盲点使得区分良性操作、恶意攻击以及代价高可观测性工具难以区分良性操作和灾难性故障。考虑一

3昂的故障变得困难。我们引入了AgentSight，这是一个使个被赋予重构代码任务的代理，由于从有哪些信誉好的足球投注网站API文档时

7

2用混合方法来弥合这一语义差距的AgentOps可观察性获取的恶意提示URL中读取信息，它反而注入了一个

0.框架。我们的方法，边界追踪，在应用代码外部通过eBPF后门（间接提示注入）[29]。应用程序级别的监控器可能

8在稳定的系统接口上监控代理。AgentSight拦截TLS加会看到成功的“执行脚本”工具调用，而系统监视器则

0

5密的LLM流量以提取语义意图，监控内核事件以观察系会看到一个bash进程正在写入文件。两者都无法填补

2这一鸿沟以理解原本的良性意图如何被扭曲成了恶意行

:统范围的影响，并使用实时引擎和二次LLM分析跨进程

v为，从而使它们实际上处于盲目的状态。

i边界因果关联这两条流。这种无仪器化技术与框架无关，

x对快速API变化具有韧性，并且性能开销不到3%。我当前的方法被困在这个语义鸿沟的一侧。应用程序

r

a们的评估显示AgentSight可以检测提示注入攻击、识别级仪器仪表，在诸如LangChain[8]和AutoGen[28]这

资源浪费的推理循环并揭示多代理系统中的隐藏协调瓶样的框架中发现，捕获了代理的推理和工具选择。虽然

颈。AgentSight作为开源项目在/agent-这些工具可以看到意图，但它们很脆弱，需要不断更新

sight/agentsight发布。